• it

    • "FakeGPT" #2: l'Open-Source si è trasformato in un'altra variante dell'estensione per Chrome che ruba gli account di Facebook.

    Trend delle truffe
    #Phishing & Furto di Identità
    Header

    Autore: Nati Tal

    marzo 24, 2023

    Poche ore dopo la segnalazione di Guardio a Google, l'estensione è stata rimossa dallo store di Chrome. Al momento della rimozione, è stato dichiarato che oltre 9000 utenti l'avevano installata.

    Da Open-Source a Malicious-Source

    La nuova variante dell'estensione FakeGPT per Chrome, intitolata "Chat GPT For Google", prende ancora una volta di mira i vostri account Facebook sotto la copertura di un'integrazione ChatGPT per il vostro browser. Questa volta, gli attori delle minacce non hanno dovuto lavorare sodo sull'aspetto di questa estensione malevola a tema ChatGPT: hanno semplicemente biforcato e modificato un noto progetto open-source che fa esattamente questo. Da zero a "eroe" in meno di 2 minuti.

    A sinistra: la variante "FakeGPT" su Chrome Store. A destra: L'estensione "ChatGPT for Google" autentica


    L'estensione autentica "ChatGPT For Google" si basa su questo progetto open-source, che ha guadagnato popolarità e milioni di utenti negli ultimi mesi. In quanto progetto open-source, è stato pensato per condividere le conoscenze e contribuire alla comunità degli sviluppatori, ma non sapevano che sarebbe stato abusato così facilmente per attività dannose.

    Un ladro spinto dalla ricerca sponsorizzata di Google

    Questa volta, l'estensione dannosa non viene spinta tramite i post sponsorizzati di Facebook, ma piuttosto tramite risultati di ricerca sponsorizzati di Google, come abbiamo visto con molte altre attività ultimamente.

    E così, cercate "Chat GPT 4", desiderosi di testare il nuovo algoritmo, finendo per cliccare su un risultato di ricerca sponsorizzato che vi promette proprio questo. Questo vi reindirizza a una pagina di destinazione che vi offre ChatGPT proprio all'interno della pagina dei risultati di ricerca - tutto ciò che rimane è installare l'estensione dal Chrome Store ufficiale. Questo vi darà accesso a ChatGPT dai risultati di ricerca, ma comprometterà anche il vostro account Facebook in un istante!

    Flusso di attacco da Google Search agli account Facebook compromessi


    Intrappolamento di cookie criptati tramite intestazioni HTTP false

    Basata sulla versione 1.16.6 del progetto open-source, questa variante di FakeGPT esegue solo un'azione dannosa specifica, subito dopo l'installazione, e il resto è fondamentalmente uguale al codice autentico, senza lasciare motivi di sospetto.

    La vera pagina del progetto open source ChatGPT for Google su GitHub

    Osservando la funzione OnInstalled handler che viene attivata una volta installata l'estensione, vediamo che l'estensione autentica la utilizza solo per assicurarsi che venga visualizzata la schermata delle opzioni (per accedere al proprio account OpenAI). D'altra parte, il codice biforcuto, diventato maligno, sfrutta proprio questo momento per sottrarre i cookie di sessione, come si può vedere in questo esempio di codice deobfuscato dell'estensione maligna

    Quello che vediamo qui è un semplice Cookie-Hijacking, dedicato ancora una volta a Facebook, come si può vedere nel seguente frammento di codice in cui la funzione et() filtra i cookie relativi a Facebook dall'elenco completo acquisito con l'API delle estensioni di Chrome. Successivamente, xa()viene utilizzata per criptare tutto con AES utilizzando la chiave "chatgpt4google":

    Una volta che l'elenco è pronto, viene inviato con una richiesta GET al server C2 ospitato sul servizio workers.dev, lo stesso che abbiamo visto nella variante originale di FakeGPT.

    L'elenco dei cookie viene crittografato con AES e allegato al valore dell'intestazione HTTP X-Cached-Key. Questa tecnica viene utilizzata per cercare di far uscire di nascosto i cookie senza che i meccanismi di DPI (Deep Packet Inspection) emettano avvisi sul payload del pacchetto (che è il motivo per cui è anch'esso crittografato).
    Si noti solo che non esiste un'intestazione X-Cached-Key nel protocollo HTTP! Esiste un'intestazione X-Cache-Key (senza la "d") utilizzata per le risposte, non per le richieste. Ma questo non preoccupa i truffatori che ottengono esattamente ciò di cui hanno bisogno dai browser compromessi:

    Decriptando il valore dell'intestazione si ottiene un elenco di facile lettura di tutti i cookie di sessione di Facebook attualmente attivi sul browser, con un aspetto simile a questo (elenco ridotto):

    Alla richiesta di cui sopra, il server C2 risponde con un generico errore 404 e basta - " Tutti i tuoi Facebook appartengono a noi!".

    Dal Cookie-Sneaking al Facebook-Hijacking

    Per gli attori delle minacce, le possibilità sono infinite: utilizzare il vostro profilo come bot per ottenere commenti, like e altre attività promozionali, oppure creare pagine e account pubblicitari sfruttando la vostra reputazione e identità e promuovendo servizi sia legittimi che, probabilmente, in gran parte non lo sono.

    Con questi cookie, la vostra sessione di Facebook può essere rapidamente superata, i vostri dati di accesso all'account di base modificati e da questo momento in poi perdete il controllo del vostro profilo senza poterlo recuperare. Seguirà il cambio automatico del nome e dell'immagine del profilo, probabilmente con un'altra falsa "Lilly Collins" (che sembra essere la loro preferita) e, naturalmente, la raccolta dei vostri dati privati (per un maggiore profitto) e la loro cancellazione per fare spazio a malintenzionati.

    Ultimamente abbiamo visto molti profili di utenti cadere in questa situazione, molti dei quali sono stati successivamente abusati per spingere altre attività dannose all'interno dell'ecosistema di Facebook e persino per la semplice propaganda della peggior specie.

    Un esempio piuttosto brutale per visualizzare il tutto è questa pagina aziendale di RV-selling dirottata il 4 marzo 2023. È ancora disponibile all'URL originale https://www[.]facebook[.]com/shadymaplefarmmarket ed è ora utilizzata per promuovere i contenuti dell'ISIS. Si veda come Lily Collins viene aggiunta automaticamente come immagine del profilo subito dopo essere stata dirottata (probabilmente da un sistema automatico usato dai truffatori). In seguito viene aggiornata con immagini a tema ISIS, forse in seguito alla cessione a un altro attore che cerca di diffondere questo tipo di contenuti utilizzando account Facebook rubati di alto profilo:

    Esempio di pagina Facebook Business dirottata e utilizzata per promuovere i contenuti dell'ISIS


    Ultimo ma non meno importante

    L'uso improprio del marchio e della popolarità di ChatGPT continua ad aumentare, utilizzato non solo per la raccolta di account Facebook e non solo con false estensioni dannose per Chrome. I principali servizi offerti da Facebook, Google e altri grandi nomi sono oggetto di continui attacchi e abusi, mentre alla fine di tutto - quelli che vengono colpiti maggiormente siamo noi, gli utenti.

    La consapevolezza è un fattore cruciale per schivare gli attacchi e mantenere la privacy dei propri dati, ma al giorno d'oggi è sempre più evidente che anche per gli utenti di Internet casalinghi e occasionali devono esistere servizi di protezione e rilevamento della sicurezza più pertinenti e mirati alle loro esigenze, per superare le enormi lacune di sicurezza che colpiscono gli utenti in massa.

    Per saperne di più sulla campagna "FakeGPT":

    "FakeGPT": Nuova variante dell'estensione Chrome Fake-ChatGPT che ruba gli account pubblicitari di Facebook con migliaia di installazioni giornaliere

    CIO

    Questo articolo è stato pubblicato in collaborazione con Guardio Labs.

    Fonte: unsplash.com

    Segnala una truffa!

    Ti sei innamorato di una bufala, hai comprato un prodotto falso? Segnala il sito e avvisa gli altri!

    Segnala una truffa!

    Categorie di truffe

    Aiuto e Informazioni

    Avvisi di truffaScopri le truffeSiti affidabiliConsulenza per le AziendeRicerca e rapportiGlobal Scam Country Guide
    Vedi tutto

    Storie popolari

    Come riconoscere un sito web truffa

    Con l'aumento dell'influenza di Internet, aumenta anche la diffusione delle truffe online. Ci sono truffatori che fanno ogni tipo di reclamo per intrappolare le vittime online - da false opportunità di investimento a negozi online - e Internet permette loro di operare da qualsiasi parte del mondo con l'anonimato. La capacità di individuare le truffe online è un'abilità importante da possedere, dato che il mondo virtuale sta diventando sempre più parte di ogni aspetto della nostra vita. I consigli che seguono vi aiuteranno a identificare i segnali che possono indicare che un sito web potrebbe essere una truffa. Buon senso: Troppo bello per essere vero Quando si cercano prodotti online, un'offerta vantaggiosa può essere molto allettante. Una borsa di Gucci o un nuovo iPhone a metà prezzo? Chi non vorrebbe approfittare di un simile affare? Anche i truffatori lo sanno e cercano di approfittarne. Se un'offerta online sembra troppo bella per essere vera, pensateci due volte e controllate due volte. Il modo più semplice per farlo è semplicemente controllare lo stesso prodotto su siti web concorrenti (di cui vi fidate). Se la differenza di prezzo è enorme, è meglio ricontrollare il resto del sito. Controllare i link ai social media Al giorno d'oggi i social media sono una parte fondamentale delle attività di e-commerce e i consumatori spesso si aspettano che i negozi online abbiano una presenza sui social media. I truffatori lo sanno e spesso inseriscono i loghi dei siti di social media nei loro siti web. Spesso, grattando sotto la superficie, si scopre che q

    Per saperne di più

    Come posso recuperare i soldi da un truffatore?

    Il peggio è passato: vi siete resi conto di aver versato i vostri soldi troppo in fretta e che il sito che avete usato era una truffa - e adesso? Prima di tutto, non disperate!!! Se pensate di essere stati truffati, la prima cosa da fare in caso di problemi è chiedere semplicemente un rimborso. Questo è il primo e più semplice passo per determinare se si ha a che fare con un'azienda vera o con dei truffatori. Purtroppo, ottenere il rimborso da un truffatore non è così semplice come chiedere. Se si ha a che fare con dei truffatori, la procedura (e la possibilità) di ottenere il rimborso varia a seconda del metodo di pagamento utilizzato. PayPal Carta di debito/carta di credito Bonifico bancario Bonifico bancario Google Pay Bitcoin PayPal Se avete usato PayPal, avete buone possibilità di riavere i vostri soldi se siete stati truffati. Sul loro sito web è possibile presentare una controversia entro 180 giorni di calendario dall'acquisto. Condizioni per presentare una controversia: La situazione più semplice è che abbiate ordinato da un negozio online e il prodotto non sia arrivato. In questo caso PayPal dichiara quanto segue: "Se l'ordine non arriva e il venditore non è in grado di fornire la prova della spedizione o della consegna, otterrai un rimborso completo. È così semplice". Il truffatore vi ha inviato un articolo completamente diverso. Ad esempio, avete ordinato una PlayStation 4, ma avete ricevuto solo un controller Playstation. Le condizioni dell'articolo sono state travisate nella pagina del prodotto. Ad esempio, l'articolo è stato dichiarato come nuovo, ma presenta evi

    Per saperne di più